Der Kauf einer gebrauchten SSD auf eBay hat dem Erwerber einen ungewöhnlichen Fund beschert. Auf dem Datenträger fanden sich persönliche Daten von Bürgern, die von einem Jugendamt und einer KFZ-Zulassungstelle erhoben worden waren.
Anzeige
Ich bin gleich über zwei Schienen auf das Thema aufmerksam gemacht worden. Einmal ging mir eine Pressemeldung von heise zu. Aber auch auf Twitter wurde mir das Thema vor die Füße gespült.
SSD mit Daten aus dem Jugendamt und der Kfz-Zulassungsstelle im Handel https://t.co/ENKAO1irwO
— Datenschutz Aktuell (@DSAgentur) December 20, 2019
Konkret handelt es sich wohl um eine bei einer Behörde der Stadt Coburg ausgemusterte SSD, die Daten der Kfz-Zulassungsstelle der Stadt Coburg und des Jugendamts des zugehörigen Landkreises enthielt. Die SSD wurde auf eBayals vermeintlich neuwertig (als B-Ware) verkauft. Der Käufer informierte die heise-Redaktion über seinen Fund, die dem Fall nachgingen.
Behörden-SSD bei eBay
In der Pressemitteilung legt heise Details offen. „Unser c't-Leser staunte nicht schlecht, als die angeblich neuwertige SSD vom eBay-Händler vollgestopft mit Behördenakten bei ihm im Briefkasten landete", merkt c't-Chef vom Dienst Georg Schnurer an. Laut Schnurer bat er die c't-Redaktion darum, die Sache genauer unter die Lupe zu nehmen.
Bei den Recherchen von heise stellte sich heraus, dass sich auf der bei eBay gekauften SSD nicht nur jede Menge persönliche Daten von Bürgern befanden, sondern auch diverse interne E-Mails, teilweise mit Zugangsdaten zu den verschiedensten behördlichen Servern.
Doch damit nicht genug: Auch die vertrauliche Korrespondenz, die eine Mitarbeiterin der Zulassungsstelle in ihrem Zweitjob beim Jugendamt des Landratsamtes Coburg führte, war auf der SSD gespeichert.
Der Dienstleister und die Löschbescheinigung
Interessant ist der Fall im Hinblick auf die Frage, wie die SDD mit den sehr brisanten Daten auf eBay landen konnte. Die Redaktion von heise ging der Frage nach und fand bei weiteren Recherchen bei der Zulassungsstelle in Coburg heraus, dass es im Sommer Probleme mit der SSD gegeben hatte. Kann vorkommen.
In diesem Zusammenhang wurde ein IT-Dienstleister wurde mit dem Austausch der SSD beauftragt. Üblicherweise werden diese Auftragnehmer vergattert, die Datenträger sicher zu löschen oder sogar zu vernichten. Der IT-Dienstleister stellte der Behörde auch eine Löschungsbescheinigung für die defekte SSD aus. Der IT-Dienstleister hatte wohl auch versucht, die SSD zu löschen, aber zu kurz gegriffen.
Anzeige
"Wir fragten beim Dienstleister nach, wie die Daten auf der SSD gelöscht wurden", erklärt Schnurer, „und es stellt sich heraus, dass das gewählte Verfahren für Laufwerke mit magnetischer Datenspeicherung zwar geeignet sein mag, nicht jedoch für SSDs, die über interne Reservesektoren verfügen."
Die vermeintlich defekte SSD wurde nicht vernichtet, weil das Landratsamt bei der Ausschreibung für die PC-Beschaffung explizit auf den sogenannten Festplattenverwurf verzichtet hatte. Damit gehen defekte oder ausgetauschte Festplatten und SSDs in den Besitz des Lieferanten über. Dieser wiederum unterzog die SSD einer einfachen Funktionsprüfung und schickte sie an den Distributor als Garantiefall zurück. Dieser verkaufte sie dann mutmaßlich als B-Ware weiter an einen gewerblichen Händler.
Das war ein Fehler, der den Dienstleister und möglicherweise die Beteiligten in der Kette noch teuer zu stehen kommen könnte. Ich denke, dass das dies letzte Auftrag der Stadt und des Landkreises an den IT-Dienstleister war. Zudem hat die Angelegenheit ja noch eine DSGVO- und datenschutzrechtliche Konsequenz. Datenschutzaufsicht und die Kriminalpolizei haben die Ermittlungen aufgenommen.
Neues Informationssicherheitskonzept
Das Landratsamt Coburg arbeitet laut heise bereits an einem neuen Informationssicherheitskonzept. Bei zukünftigen Ausschreibungen für Behörden PCs werde man auch nicht mehr auf den Festplattenverwurf verzichten. „Inzwischen hat die Zentralstelle Cybercrime Bayern die Ermittlungen übernommen", so Schnurer. „Wir sind nun sehr gespannt, was die weiteren Ermittlungen ergeben und welche Konsequenzen das Datenleck für die Beteiligten haben wird."
Der obige Fassung ist der Kurzauszug mit dem Sachverhalt. Die heise-Redaktion hat das gesamte Thema in diesem Artikel ausführlich aufbereitet. Darin wird auch offen gelegt, wie sorglos Behörden mitunter im Hinblick auf den Schutz von Daten und Passwörtern arbeiten, und warum bestimmte Sachen so implementiert waren (es gibt für alles eine Erklärung, die auf 'es gab Probleme, daher konnten wir dieses und jenes nicht so wie geplant umsetzen'). Und die Redaktion versucht aufzuzeigen, wie dieser Datenträger mit sensitiven Daten in den Handel gelangen konnte.
2015
Nicht, daß ein solcher Vorfall der Erste wäre.
Die IT-Abteilung gehört dich gemacht, Datenspeicher gehören grundsätzlich nicht veräußert, die vernichtet man – ohne wenn und aber – und führt bestenfalls die Elektronik (Platinen) oder das Gehäuse der Wiederverwertung zu.
Der Speicher hingegen ist auch als Granulat wiederverwertbar… Sand ist schon was Schönes.
Aber was soll es mich wundern. BRD "Neuland" – von Tuten und blasen keine Ahnung, eingestellt wird nur Personal, das sich mit bunten Zertifikaten (bei ebay gekauft) übertrifft, weil die Personalverantwortlichen überhaupt keine Qualifikation oder Kompetenz haben, fähige von unfähigen Mitarbeitern in der IT zu unterscheiden.
Nichtsdestotrotz: Frohe Festtage Dir, lieber Günter, und natürlich auch allen anderen Kommentatoren, die sich meinen Erguß (es ist schlichtweg Resignation…) gegeben haben.
Welche IT Abteilung?
Dort scheint ja alles nur von externen Dienstleistern abgewickelt zu werden.
Der Begriff "Festplattenverwurf" ist aber auch mir neu, muss ich mir merken für den unwahrscheinlichen Fall das ich mal EDV Equipment an einen externen Dienstleister geben sollte. Selbst wenn ich die Platten vorher platt gemacht habe.
Im Grunde haben wir hier 2 Skandale.
Einmal die Daten auf der SSD generell und zum anderen wie kann eine 2 Jahre alte täglich genutzt SDD durch mehrere Hände ungelöscht und mit Fehlern beim Endverbraucher als quasi "Neu-/Retour/Austauschware" landen. In meinen Augen grenzt das an Betrug mit einer gehörigen Portion an krimineller Energie.
Da es laut Artikel an die 30 SSDs waren scheint es ja keine "Einzelaustausch" Aktion gewesen zu sein, sondern etwas größeres. (evtl. bekannte Probleme bei der Charge dieses SSD Modells?)
Die Frage ist, wer in der Kette hat was, wie und mit welchen Angaben weitergegeben. Und was eine Löschungsbestätigung wert ist sehen wir ja jetzt.
"Festplattenverwurf" kannte ich auch nicht, normalerweise heißt das "Medieneinbehalt".
Wir haben im Unternehmen vor kurzem erst einen neuen Schredder gekauft.
Der alte funktionierte nur unzureichend für SSDs und es kam – gelegentlich vor – das doch mal eine unzerstört "durchrutschte". Was nicht tragbar war.
Prinzipiell werden bei uns Altgeräte nur ohne Datenträger veräußert.
"mit Zugangsdaten zu den verschiedensten behördlichen Servern"
BINGO!
Wie hat der IT-Dienstleister die SSD überhaupt gelöscht? Schnellformatierung?
Man kann jeden Sektor mit einer Null beschreiben. Das geht sowohl mit Windows als auch mit Linux und ist, bei magnetischen Festplatten, sicher. Aber wie schreibt man die Null in die Reservesektoren?
Die Hesteller der jeweiligen Platten bieten in der Regel immer eine Management Software für die SSD mit (Crucial, Samsung) da gibt es innerhalb der Management Software die Möglichkeit die SSD vollständig (auch mit Sicherheitssektoren) zu löschen. DBAN wäre da noch als Hersteller zu nennen, der mittlerweile aber leider die kommerzielle Schiene fährt (war ursprünglich mal kostenfrei verfügbar).
Heise beschreibt ein Tool, welches benutzt wurde – was aber bei der SSD wohl versagte.
Mein UEFI/BIOS bietet eine Funktion dafür an….
Und damit dürfte ich nicht alleine sein ;-)
Hierzu passend ein Beitrag von dem geschätzten Mike Kuketz:
SSD | Flashspeicher sicher löschen
https://www.kuketz-blog.de/ssd-flashspeicher-sicher-loeschen/
Für HDD:
3x Überschreiben laut DoD 5220.22-M (E)
http://www.mcsoft.at/funktionen.php?ID=mcwipe&SUB=wipe
Für SSD:
SSD Secure Erase
https://www.thomas-krenn.com/de/wiki/SSD_Secure_Erase
Aber bei Behörden und öffentlichen Einrichtungen kann natürlich sogar eine andere Methode bis hin zur Gutmann-Methode gefordert sein – ob diese dann auch wirklich durchgeführt wird???
Warum wurde nicht Bitlocker in Kombination mit EFS eingesetzt!
Ich hatte den Original heise-Beitrag verlinkt und geschrieben, dass dort Details zu finden seien. Die Frage wurde explizit beantwortet: Es gab Probleme mit TPM auf der Hardware, so dass Bitlocker noch nicht möglich war (Aussage des IT-Verantwortlichen). Die Frage nach warum keine andere Verschlüsselung blieb unbeantwortet. Es wurden auch Erklärungen geliefert, warum viele vertrauliche Information lokal als PDF-Kopien zurückblieben. Alles war eine Mischung aus 'es gab Probleme, deshalb haben wir das so lösen müssen' und 'es wurden keine Zwischendateien gelöscht, sondern blieben als Datenhalde zurück.
Aber ihr verkennt die Intention des Artikels. Es ist ein Lehrstück für jeden IT-Verantwortlichen in Unternehmensumgebungen: Wenn was schief gehen soll, geht etwas schief. Ergo müsste man ein Konzept haben 'wo gibt es Schwachstellen? und was passiert, wenn diese oder jenes passiert?'.
Früher gab es das Thema Technikfolgenabschätzung – heute wäre IT-Folgenabschätzung angebracht.
Mit 'Verwurfsverpflichtung' wäre möglicherweise keine SSD in Umlauf gekommen. Mit EFS hätten sich die Daten nicht lesen lassen.
Die verwendete Lösch-Methode ist nicht das Problem. Die Frage ist, wie kommt so eine SSD zu Ebay? Firmen und Behörden-IT geht i.d.R. zurück zu Leasingfirmen und von da aus ggf. zum Refurbisher zur Wiederververwertung unter strengen Vorgaben, was die Löschung von Datenträgern betrifft.
Einzelne Datenträger sollten da nie ausgeschlachtet und bei EBAY verramscht werden. Wer macht denn sowas?
Da kann doch nur ein einzelner Mitarbeiter dahinterstecken, der sich irgendwie unterbezahlt fühlt. Die offizielle Entsorgungslösung ist das garantiert nicht.
Ich hatte das übrigens auch mal als EBAY-Käufer einer Notebook-Festplatte. Die Festplatte war vorher im Notebook des Betriebsrates/ der Personalvertretung der Bank Austria.
Die waren begeistert, als ich Sie angerufen und Ihnen erzählt habe, was ich so alles auf der Festplatte drauf habe. Wie diese Platte bei EBAY gelandet ist, konnten Sie mir übrigens auch nicht erklären. Laut Ihren Sicherheitsrichtlinien und Vorschriften war das völlig unmöglich.
Ich musste Ihnen erst die Ergebnisse Ihrer letzten Betriebsratswahl, ein paar Adresslisten mit Mitarbeiterdaten und eine launige Powerpoint-Präsentation zum 50. Geburtstag des Betriebsratsvorsitzenden per E-Mail zusenden, bis man mir geglaubt hat und den Verkäufer wissen wollte.
War irgendwann Ende der 90er Anfang der 2000er glaub ich mich zu erinnern.
Freundliche Grüße
P.B.
Liest man dies, geht es nicht nur um das Desaster der schlampig gelöschten Platte.
Es geht um das Vertrauen der Bürger wie der Staat mit ihm anvertraute Daten umgeht.
Was nützt alles geschriebene auf dem Papier, wenn es nicht in der Praxis umgesetzt wird?
Am ende ist es einfach nur ein weiteres Behörden -versagen auf höherer Ebene.